由于跨域OPTIONS请求带来的java web应用session失效的问题

已于 2022-05-07 09:35:58 修改
阅读量2.8k 收藏
点赞数 1
分类专栏: java 文章标签: 前端 java 开发语言
于 2022-05-06 23:10:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42136434/article/details/124620846
版权

 

访问链路如上图。

现象是:

      使用微信公众号、浏览器、app嵌webview来访问都是正常的,但是钉钉中打开web页面就会出现POST请求到达tomcat时会话是失效的,GET请求是正常的。

原因:

       由于系统采用前后端分离的结构,浏览器访问前端静态页面时使用的是  a.domain.com,前端页面使用ajax发起post请求时使用的是 b.domain.com,也就是说post请求是一个跨域的请求。当出现跨域的ajax POST请求时,浏览器会先发起一次OPTIONS请求预检资源是否可访问,在这次OPTIONS请求中,浏览器不会传递用于会话跟踪的cookie(SESSIONID),这时候由于在服务端的filter中调用了HttpSession的api,tomcat会自动创建一个新会话session,并同时返回用于session跟踪的新cookie(SESSIONID)值,钉钉的浏览器实现会把此cookie覆盖正常的会话cookie,导致发起紧跟OPTIONS请求后的POST请求时传递的会话cookie(SESSIONID)是OPTIONS请求返回的cookie,从而在服务端拿到的不是期望的会话数据,也就是会话失效。

解决办法:

         在后端中对OPTIONS请求不做任何拦截处理,不要访问HttpSession的任何api,交给tomcat处理即可。

有意思的是这个问题排查了非常久,之前已经稳定运行了几年的系统(包括钉钉中访问),由于这次升级k8s和网关在钉钉中出现这个问题,当使用另一些访问链路的时候是正常的,包括钉钉里都是正常的。如下图所示:

qq_42136434
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
引起的session失效
weixin_42202352的博客
07-06 1706
业务场景 解决方式 总结 业务场景 ​ 场景1、 A系统原来访问B系统,之前是通过nginx前端配置的方式访问(验签),然后再经B系统重定向到nginx中的前端指定页面;此时的访问链接形式如: http://a.com/a/b?redirectUrl=http://a.com/index.html 场景2、 后来由于业务需求,需要使用A-系统需要使用https来访问B系统,在不能影响A系统访问B的前提下申请了LB(loadbalance)通过LB的https负载到nginx的名上a.com,此时的
iframesession失效问题的解决办法
10-26
主要介绍了iframesession失效问题的解决办法,有需要的朋友可以参考一下
解决axios会发送两次请求,有个OPTIONS请求问题
10-17
主要介绍了解决axios会发送两次请求,有个OPTIONS请求问题,需要的朋友可以参考下
从前后端的角度分析options预检请求——打破前后端联调的理解障碍
追寻心的步伐
05-31 1488
这些请求被称为“非简单请求”。反之,如果一个请求被认为是“简单请求”,那么浏览器将不会发送OPTIONS请求请求的目的是为了获取服务器对于请求的配置信息(如允许的请求方法、允许的请求头部等),而不是为了获取实际的业务数据,如果一个请求不满足以上所有条件,那么它被认为是非简单请求。因为这个请求不满足简单请求条件,所以在实际POST请求之前,浏览器会发送。请求成功还是失败,在设置的时间范围内,同一个接口请求是绝对不会再次发送。提示:当一个POST请求满足简单请求条件时,浏览器不会发送。
session问题,后端不发从session中获取值 Integer user_id=(Integer) session.getAttribute(“user_id“);值为null
最新发布
qq_64351561的博客
06-15 184
在默认情况下,浏览器会在每个不同的名下保持独立的 cookie 存储和会话管理。这意味着,如果你在一个请求中通过 session 或者 cookie 进行了认证或者存储了会话信息,另一个请求不会自动共享这些信息,即使请求中的数据(formData)是相同的。通常情况下,使用资源共享(CORS)和 cookie 是最常见的方法,特别是在控制两个服务器的场景下。这两个请求会被认为是来自不同的(localhost 和 192.168.87.97),因此浏览器默认情况下会将它们视为不同的会话上下文。
springboot全局配置
ITzhongzi的博客
12-26 887
核心代码 package com.itzhongzi.videoedu.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframew...
web session丢失解决方法
ooaash的博客
04-08 6062
1、ajax中加入属性 xhrFields: {  withCredentials: true  }, 整个ajax请求如下 $.ajax({             url: "http://server.change.com/api/toLogin",             type: "POST",             data: {},
tomcat项目问题解决方法整理
huawangxin
12-12 2296
tomcat项目问题解决方法整理
React如何解决fetch请求session失效问题
10-17
然而,在使用fetch进行请求时,可能会遇到session失效问题,这会影响用户的登录状态和应用的功能。本文将详细介绍React如何解决fetch请求session失效问题。 首先,fetch API在React中作为...
Python Tornado之请求Options请求方式
09-17
提到的Options请求是CORS预检请求,浏览器在发送实际的GET、POST等请求之前,会先发送一个Options请求,检查服务器是否允许这次请求。因此,Tornado需要处理Options请求,确保返回正确的响应头: ```python ...
session失效
HaoHui的博客
09-19 2082
问题 response.setHeader(“Access-Control-Allow-Origin”, “*”); response.setHeader(“Access-Control-Allow-Methods”, “POST, GET, OPTIONS, DELETE”); response.setHeader(“Access-Control-Allow-Headers”, “x-...
Java-前端请求报错
weixin_45203607的博客
10-13 1024
问题 原以为是问题,前后端都对做了处理但是没用,最后发现没想到调后端接口时会发送两次请求,一次是options,另一次是正常请求 ,options通过后再发送get或者post请求,在一开始后端只对请求做了一次拦截(过滤器或者拦截器),导致前端发送请求时后端只能接收到options请求,并且无任何内容和token存在, 最终解决方法是(拦截器或者过滤器中)后端对options做了处理,检测到是option请求时直接放行,然后就ok啦 ...
JAVA解决OPTIONS请求问题时ajax发送两次请求
WillorBoy的博客
06-26 1439
这是在的情况下,浏览器发起"复杂请求"时主动发起的。共享标准规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该请求。在进行HTTP请求时,可能会遇到一种叫做OPTIONS请求,它是一种预检请求,用于在发送实际请求之前,检查服务器是否允许该请求。3.利用filter。
session失效问题
Heihei 's note
03-15 1798
session.invaliddate()session失效有如下几个原因:1 session.invalidate()方法注销session2 session超时<session-config> <!-- session的超时时间,以分钟为单位 --> <session-timeout>1</session-timeout> &...
处理session服务器、失效问题
dijiangcuo3529的博客
11-25 546
最近遇到一个需求,就是在单体架构的系统上要将系统中的文件资源分离到另一个资源系统中,这时候就需要考虑到问题了。网上解决方式有以下几种: 网上的解决方案 Java中解决的方式主要有两种: 1)第一种解决方法 后台代码在被请求的Servlet中添加Header设置response.setHeader("Access-Control-Allow-Origin", "*...
Spring 后端处理options请求,解决问题
zhanghe_zht的博客
06-08 6854
@ResponseBody @RequestMapping(value = {"/change","/add","/delete"}, method = RequestMethod.OPTIONS) public String options(HttpServletResponse resp,HttpServletRequest request){ setCORS(resp,request); return "success"; } private void setCORS(HttpSer
导致request.session获取不到数据一例
cyjfox的博客
04-29 164
写一个登录功能,发现request.session.xxx获取不到数据,为undefined.打印登录时的sessionid和获取页面的sessionid获取二者不一致。获取页面时的sessionid一直为同一个。但是登录是的sessionid每次都会变。发现登录时会有一个options请求。查网上得知这是一个的标志。原来是而前端默认不带cookie导致每次都新的session会话。尝试在登录的前端fetch请求加上credentials:include让前端带上cookie访问后端。
Java Web前后端分离中CORS配置及OPTIONS请求优化
fr1d4st的博客
07-03 1009
文章目录@[toc]Java Web前后端分离中CORS配置及OPTIONS请求优化0x00 CORS 概述0x01 Filter中配置CORS0x02 SpringBoot中配置CORS全局配置单独配置0x03 OPTIONS请求优化 Java Web前后端分离中CORS配置及OPTIONS请求优化 0x00 CORS 概述 资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告...
iframe问题session失效
09-07
当使用iframe进行请求时,由于浏览器的同源策略,导致访问的目标和当前的会话状态无法共享,从而导致session失效。 同源策略是浏览器的一种安全机制,限制了网页中的脚本只能与同一名、端口和协议的资源进行交互。而在使用iframe进行请求时,目标和当前存在不同的名,因此无法直接访问目标的会话状态。 由于session是由服务器生成的唯一标识符,用于跟踪用户会话状态的一种机制,因此在请求的过程中,服务器无法获取当前的会话状态,从而导致session失效。 为了解决这个问题,可以使用一些方法来绕过同源策略。一种常见的方法是使用代理服务器,将请求发送给代理服务器,再由代理服务器将请求发送到目标,从而实现访问,但这种方法的实现比较复杂。 另一种简单的解决办法是使用JSONP,它通过在当前下动态创建<script>标签,向目标发送GET请求,然后通过一个回调函数将数据返回到当前,避免了请求。 总的来说,在进行请求时要注意同源策略的限制,并根据具体情况选择合适的解决方法,以确保会话状态的有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值